FortiGate IPsec VPN:configuration多个2阶段连接(多个子网)
我正在尝试使用OpenSwan与FortiGate路由器进行IPsec连接。 FortiGate位于两个不同的子网上,我需要访问它们两个。 在FortiGate中,我定义了一个阶段1连接和一个阶段2连接。 这使我能够成功连接到其中一个子网。
我需要能够同时访问两个子网。 接收到的看法似乎是在OpenSwan中创build两个独立的连接(每个子网一个),并在build立额外的连接时自动尝试重新使用现有的第1阶段隧道(为其他连接创build新的第2阶段隧道时)。
当我调出两个连接时,根据日志,OpenSwan似乎陷入了连续循环,试图依次重新协商每个连接(我一次只能ping一个子网)。 我猜测这是因为FortiGate在尝试新的连接时会丢弃现有的连接。
我有以下问题:
- 何时在Windows AD域中使用IPSec?
- PFsense VPN所有types失败?
- 如何在Windows Server 2008 R2上安装L2TP IPsec VPN服务器?
- 如何使用Linux的预共享密钥和Xauth连接到IPsec VPN?
- 带有racoon的ipsec vpn在第一阶段重新协商时丢弃stream量
-
我应该如何configurationFortiGate允许来自同一个IPsec发起者的两个并发连接(每个子网一个连接)? 这甚至有可能吗? (这个文件似乎有点模糊。)
-
我是否需要将FortiGate中的第二阶段连接专门关联到特定的子网?如果是的话,我该怎么做呢?
-
在同一端点之间进行多个IPsec VPN连接时,是否有任何问题/疑难杂症?
1&2)在某些情况下,你是对的,你需要两个phase 2 。 例如,在处理额外的安全性时(例如,在stream向防火墙策略的stream量之前),需要在两个phase 2之间分裂两个子网。 除非您没有这种复杂性,并且可以创build足够宽的quick mode selectors ,以包含同一phase 2的两个子网。
3) phase 1 s? 是。 它会像你描述的那样下降。 phase 2 s同phase 1 ? 它不会下降。
我不知道openswan,但是FortiOS至less支持IPsec规范。 你最好的select是双方debugging,看看究竟发生了什么。
我在OpenSwan方面帮不了你,但是我最近不得不把Cyberoam连接到有多个子网的Fortigate上。 对于每个子网,可以创build另一个阶段2(绑定到相同的阶段1对象):
以下是这样一个阶段2对象的例子:
在快速模式select器部分,指定本地地址和子网,这与其他第2阶段对象不同。 在我的情况下,我已经创build了地址对象(在防火墙菜单下)的可重用性。
在我们的fortigate上,我们为每个子网使用不同的物理端口,所以我们为每个子网创build了一个VPN策略:
我这样做可以帮助你在事情的防御方面。
PS:我已经重新命名了屏幕截图上的大部分内容,最好给出更有意义的名称。